Cara kerja Route 53 Global Resolver - Amazon Route 53
Apa yang terjadi ketika klien membuat kueri DNSArsitektur anycast globalPemfilteran dan keamanan DNS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja Route 53 Global Resolver

Route 53 Global Resolver memungkinkan resolusi DNS split-traffic antara domain publik dan pribadi, menyediakan ketersediaan tinggi melalui dua atau lebih yang Wilayah AWS Anda pilih, dan mengamankan kueri DNS dengan mencegat permintaan dan menerapkan kebijakan pemfilteran DNS. Memahami proses ini membantu Anda memecahkan masalah dan mengoptimalkan penerapan untuk kinerja, ketersediaan, dan keamanan.

Apa yang terjadi ketika klien membuat kueri DNS

Ketika seseorang di lokasi Anda mencoba menanyakan domain, Route 53 Global Resolver memproses permintaan DNS mereka melalui beberapa lapisan keamanan.

Pemrosesan kueri DNS melibatkan langkah-langkah berurutan ini:

  1. Penerimaan kueri - Perangkat klien mengirim kueri DNS ke alamat IP anycast Route 53 Global Resolver. Perutean anycast secara otomatis mengarahkan kueri ke Wilayah terdekat. AWS

  2. Otentikasi - Route 53 Global Resolver mengotentikasi klien menggunakan metode otentikasi yang dikonfigurasi (berbasis token untuk DoH/DoT atau Sumber Akses IP untuk semua protokol).

  3. Evaluasi kebijakan - Layanan mengevaluasi kueri DNS terhadap kebijakan keamanan dan daftar domain yang dikonfigurasi untuk menentukan tindakan yang sesuai (izinkan, blokir, atau peringatan). Untuk kueri yang menargetkan zona host pribadi, Route 53 Global Resolver memeriksa apakah klien diberi wewenang untuk mengakses domain pribadi berdasarkan aturan tampilan DNS yang dikelola oleh administrator Anda sebelum melanjutkan dengan resolusi.

  4. Resolusi - Untuk kueri yang diizinkan, Route 53 Global Resolver melakukan resolusi DNS menggunakan resolver DNS publik atau resolusi zona host pribadi yang sesuai.

  5. Pengiriman respons - Layanan mengembalikan respons DNS ke klien dan mencatat detail kueri untuk pemantauan dan analisis.

Arsitektur anycast global

Route 53 Global Resolver menggunakan alamat IP anycast untuk menyediakan ketersediaan global dan perutean geografis otomatis.

Route 53 Global Resolver menggunakan alamat IP anycast untuk menyediakan:

  • Perutean geografis otomatis - Kueri DNS secara otomatis dirutekan ke Wilayah terdekat AWS untuk kinerja optimal.

  • Redundansi bawaan - Jika Wilayah menjadi tidak tersedia, lalu lintas secara otomatis gagal ke Wilayah terdekat berikutnya.

  • Alamat IP yang konsisten - Klien menggunakan alamat IP anycast yang sama terlepas dari lokasi mereka, menyederhanakan konfigurasi.

Pemfilteran dan keamanan DNS

Route 53 Global Resolver menyediakan pemfilteran dan keamanan DNS komprehensif melalui beberapa lapisan. Diagram pemfilteran DNS dan arsitektur keamanan menggambarkan bagaimana kueri diproses melalui autentikasi, evaluasi kebijakan, dan lapisan resolusi.

Route 53 Global Resolver menyediakan keamanan DNS komprehensif melalui:

  • Pemfilteran berbasis domain - Blokir atau izinkan kueri berdasarkan nama domain menggunakan daftar domain khusus atau AWS terkelola.

  • Integrasi intelijen ancaman - Memanfaatkan intelijen ancaman AWS terkelola untuk secara otomatis memblokir domain berbahaya yang diketahui.

  • Deteksi ancaman lanjutan - Mendeteksi dan memblokir upaya tunneling DNS dan pola Algoritma Pembuatan Domain (DGA).

  • Pemantauan waktu nyata - Hasilkan peringatan dan log untuk peristiwa keamanan dan pelanggaran kebijakan.